SAML-Forderungen und Ungereimtheiten mit "Der Aussteller des Tokens ist kein vertrauenswürdiger Aussteller" in SharePoint 2010

Veröffentlichung des Originalartikels: 18.05.2012

Offen gesagt ist SharePoint ab und zu nicht ehrlich zu uns.

So habe ich beispielsweise heute mit meinem Freund Nidhish daran gearbeitet, SAML in einer SharePoint-Website ans Laufen zu kriegen. Zunächst erhielten wir einen seltsamen HTTP 500-Fehler beim Aufrufen der Website. Dies ist meiner Erfahrung nach an sich bereits ungewöhnlich. Zum besseren Verständnis des Problems öffneten wir die ULS-Protokolle und fanden diesen Fehler: "Der Aussteller des Tokens ist kein vertrauenswürdiger Aussteller". Nachdem ich SAML in SharePoint so ungefähr 3.492.234 Mal eingerichtet habe, war ich mir ziemlich sicher, dass die Zertifikate richtig konfiguriert waren. Nichtsdestotrotz haben wir uns die Zertifikate, die mithilfe von SPTrustedRootAuthority registriert wurden, ziemlich lange angesehen, die Fingerabdrücke der Zertifikate verglichen, die Zertifikate in ADFS gegengeprüft und Dienste und Felder wiederverwendet usw. Es schien überhaupt keinen Sinn zu ergeben, da jeder Aspekt der Zertifikatkonfiguration scheinbar richtig war.

Schließlich entschloss ich mich, alle Einstellungen der vertrauenden Seite in ADFS erneut zu überprüfen, wobei ich dann auf das "echte" Problem gestoßen bin. Es stellte sich heraus, dass der WS-Verbund-Endpunkt der vertrauenden Seite fälschlicherweise auf "https://foo" und nicht auf "https://foo/_trust" festgelegt war. Alle Zertifikate waren tatsächlich richtig, doch wurde die Anforderung an den Stamm anstatt an das Verzeichnis _trust umgeleitet. Nach dem Aktualisieren des WS-Verbund-Endpunkts funktionierte alles bestens. Vielleicht erweist sich dieser kleine Tipp ja bei Gelegenheit als hilfreich.

Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter The Issuer of a Token is not a Trusted Issuer Craziness with SAML Claims in SharePoint 2010